Heute, am 24. September 2021, habe ich jede Hoffnung verloren. Unser Land, unser Kontinent wird in diesem Leben keine Digitalkompetenz mehr erwerben. Wir können es nicht, unsere Kultur und unsere Institutionen lassen nicht zu, dass wir vernünftig mit dem Internet und der IT umgehen.
Warum ich das denke? Während China – gottlob – Bitcoin endgültig verbietet und damit sich wie auch der Umwelt einen großen Gefallen tut, geht Altmaiers Denkmalprojekt Gaia-X den umgekehrten Weg. Blieb bisher nur unklar, was Gaia-X eigentlich erreichen solle und auf welchem Weg, wird nun deutlich, dass das Projekt auf die schiefe Bahn geraten ist: Man hat sich die Blockchain-Token-Spacken vom OCEAN Protocol eingetreten. Und das nicht nur ein bisschen, sondern gleich tief ins – allerdings auch sonst nicht überzeugende – Architekturdokument.
Was Gaia-X soll, erfährt man im Dokument nicht, wohl aber dies:
Szenetypisch lernt man von den OCEAN-Spacken so wenig wie von Gaia-X, wie das alles funktionieren und welche Vorteile es haben könnte. Sie reden viel über ihre Token, wenig über Daten und überhaupt nicht über Probleme, welche die Datenverarbeitung in der Praxis aufwirft. Warum auch, wenn man mit haltlosem Gelaber Minister hinters Licht führen kann?
Es macht keinen Spaß mehr, sich auf diesem Kontinent mit IT zu beschäftigen.
Chatbots gelten den EDV-Experten in deutschen Amtsstuben heute als so modern und zukunftsweisend wie einst die Blockchain-Technologie. Wieder einmal überschätzen sie banale Technik grandios, ohne sich um den Anwendungsnutzen und die Benutzerinteraktion zu scheren. Oder wissen sie, was sie tun und setzen Chatbots aus denselben Gründen auf, aus denen sich Kleinstadtbürgermeister bei feierlichen Eröffnungen neuer Spielplätze oder Radwege fotografieren lassen, nämlich um dabei gesehen zu werden? Immerhin gelten Chatbots in Deutschland als zukunftsträchtige KI, damit zeigt man sich gerne.
Die Bundesverwaltung zeigt sich aus aktuellem Anlass mit dem Chatbot C-19 zum Thema Coronavirus. Nach eigener Aussage hat man weder Kosten noch Mühen gescheut, um dieses zukunftsweisende Technologieprojekt umzusetzen:
„Hinter C-19 steht ein interdisziplinäres Team in den beteiligten Ministerien und Ämtern, beim Beauftragten der Bundesregierung für Informationstechnik und beim IT-Dienstleister des Bundes. Das Team besteht aus Programmiererinnen und Programmierern, Trainerinnen und Trainern, Redakteurinnen und Redakteuren, Softwarearchitektinnen und -architekten, Administratorinnen und Administratoren und weiteren Wegbegleiterinnen und Wegbegleitern sowie Fürsprecherinnen und Fürsprechern, die ihn mit Informationen versorgen, beim Lernen unterstützen und sich um das Wohlergehen von C-19 kümmern.“
Müsste ich raten, wo das Budget herkommt, würde ich auf die KI-Strategie der Bundesregierung tippen, denn die Bundesregierung möchte, dass wir KI-Weltmeister werden, und wenn die Regierung etwas möchte, dann ist das in den Amtsstuben Gesetz. Unter diesen Umständen kann man nicht nicht KI machen und so verspricht man das Blaue vom Himmel:
„In Form eines Chats kann C-19 mit Ihnen ein Gespräch führen und soll Ihnen als Bürgerinnen und Bürgern so den Zugang zu fachlichen Inhalten der Ministerien, Ämter und Institutionen des Bundes erleichtern. Er ist um Antworten nicht verlegen und ist sogar bereit, aus Ihren Fragen mehr zu lernen und seine Wissensbasis zu Corona stetig zu erweitern. Mit C-19 wird ein Prototyp für den Aufbau einer bürgernahen Kommunikation mit Hilfe einer lernenden Technologie entwickelt.“
Nicht nur diesem Anspruch wird C-19 nicht gerecht, sondern auch keinem anderen vernünftigen. Gespräche führen kann der „Chatbot“ schon mal nicht, das überfordert ihn:
Am besten füttert man C-19 einfach mit Stichworten wie eine Suchmaschine. Dann verhält er sich auch wie eine Suchmaschine und liefert Ergebnisse:
Eine unmittelbare Antwort auf seine Frage bekommt man selten, auch wenn man eine formuliert, sondern in aller Regel einen Link und dazu einen Sermon unterschiedlicher Länge in schönstem Bürokratendeutsch:
Manchmal bekommt man auch nur den Sermon und keinen Link dazu. Ob es sich auch um eine Antwort auf die gestellte Frage handelt, bleibt dabei Glückssache:
Irgendwann muss auch dem interdisziplinären KI-Projektteam klargeworden sein, dass es sich bei seinem Chatbot in Wirklichkeit um eine banale Websuche handelt. Bietet C-19 weitere Informationen an, kann man direkt aus einem Menü wählen, welches dann – auf dem Umweg über ein inszeniertes Selbstgespräch des Bots – das Ergebnis liefert:
C-19 ist also in Wirklichkeit eine Suchmaschine, die sich hinter einem chatartigen Interface verbirgt, dadurch umständlich zu nutzen ist und ihre Tarnung nur kurz durchhält. Das ist keine Kinderkrankheit, die sich irgendwann gibt, sondern Resultat eines Vorgehens, in dem Benutzerinteraktion und Anwendungsnutzen keine Rolle spielen. Das Entwicklungsziel lautete anscheinend nicht, eine sinnvoll und leicht verwendbare Anwendung, Funktion oder Informationsdarstellung anzubieten, sondern um jeden Preis mit einem Chatbot gesehen zu werden.
Wer sich nur ein wenig mit Interaktionsdesign beschäftigt, kommt schnell darauf, dass der Austausch wohlformulierte Sätze in natürlicher Sprache selten der geeignetste, einfachste Modus der Mensch-Maschine-Interaktion ist. Eingaben werden nicht einfacher, wenn man ganze Sätze tippt, sondern anstrengender; diese Anstrengung bleibt vergebens, wenn der Computer am Ende doch nur auf Stichworte reagiert oder schlechte Antworten gibt.
Ausgaben müssen knapp und prägnant sein und dürfen wesentliche Informationen nicht in nutzlosem Rauschen verstecken. Styleguides für Benutzerschnittstellen sind deshalb voll von Empfehlungen, wie man Rauschen entfernt. Schon die Frage: „Möchten Sie mehr erfahren?” ist als Beschriftung eines Buttons zu lang, „Mehr erfahren“ oder auch nur „Mehr“ spart allen Zeit. Selbst bei kürzeren Texten sorgt die Chatdarstellung für eine geringe Informationsdichte auf dem Bildschirm und bietet keine Möglichkeit, alle relevanten Informationen oder eine übersichtliche Aufstellung derselben auf einen Schlag auf den Schirm zu bekommen.
Mit Vorteilen hat man sich diese Defizite nicht erkauft. C-19 lässt selbst offensichtlichste Gelegenheiten zur Interaktion ungenutzt. Erklärt etwa jemand der Suchmaschine, einige Symptome einer Infektion zu verspüren, böten sich Rückfragen nach weiteren Symptomen sowie umfassende, klare Verhaltensmaßregeln an. Doch so weit wollte niemand denken:
Was stattdessen herauskommt, wenn man tatsächlich nützliche Informationen sinnvoll verfügbar machen möchte, die Benutzerinteraktion ausgehend von diesem Ziel gestaltet und über die erforderliche Designkompetenz verfügt, demonstriert Google. Dort muss man nicht einmal seine Anfrage selbst zu Ende tippen, sondern bekommt nach wenigen Wörtern den passenden Fortsetzungsvorschlag:
Dessen Auswahl liefert ein sorgfältig aufbereitetes Ergebnis: Verhaltensmaßregeln in wenigen einfachen Hauptsätzen ohne ein überflüssiges Wort oder in Stichpunkte, Verweise auf weitere Informationen sowie leichter Zugang zu Antworten auf ähnliche Fragen, alles übersichtlich aufbereitet mit einer hohen Informationsdichte und schnell zu erfassen.
Wer etwas allgemeinere Stichwörter als Suchbegriffe eingibt, bekommt so viel Information, wie sich auf einer Bildschirmseite unterbringen lässt:
Auch auf die unspezifische Symptomschilderung liefert Google zwar keine Rückfrage, aber eine passende Antwort:
Hinzu kommt, dass Google jeder kennt und dass das bis auf einige zwanghafte Nonkonformisten auch jeder dort sucht, während man vom Chatbot C-19 der Bundesverwaltung nur zufällig erfährt. Mich hat das Randgruppenmedium Twitter auf C-19 aufmerksam gemacht.
C-19 ist nutzlos. Der Chatbot ist keiner, seine Gestaltung lässt keine kompetenten Bemühungen um Nutzen und Usability erkennen und mit der Suchmaschine Google sind wir besser bedient. Das wird sich auch nicht ändern, wenn man weiter am Bot herumbastelt, denn der gewählte Ansatz ist nicht fortschrittlich, sondern unsinnig und kein Stück nutzerorientiert. Zu befürchten ist jedoch, dass man noch lange daran herumbasteln wird, aus denselben Gründen, aus denen man damit begonnen und sein Scheitern nicht bemerkt hat.
Kein Wunder, dass es mit der Digitalisierung der Verwaltung so schleppend vorangeht, wenn maßgeblichen Akteuren das Immunsystem gegen Scharlatanerie fehlt. Wir sind nicht mehr nur digital rückständig, wir verlieren langsam den Kontakt zur Realität. Zwischen dem „Chatbot“ der Bundesverwaltung und einem sinnvoll gestalteten User Interface nach dem Stand der Kunst liegen Welten und sie liegen nicht hinter, sondern vor dem Bot. So wird das nichts mit der digitalen Souveränität.
In einem Beitrag auf Heise Online plädiert Julia Reda für eine europäische Förderung von Open-Source-Soft- und Hardware. Die Sprunginnovationsagentur pflichtet ihr bei und verweist auf ihr Förderprojekt Sovereign Cloud Stack. Open-Source-Projekte zu fördern, ist eine gute Idee, aber die damit verbundenen Erwartungen erscheinen mir überhöht und nicht klar genug. Open Source soll die Sicherheit verbessern, Europa unabhängiger von großen, ausländischen IT-Unternehmen machen, Alternativen zu erfolgreichen Onlinediensten von Cloud Computing bis Videokonferenzen bereitstellen und Demokratiebewegungen in anderen Ländern unterstützen [Klarstellung dazu]. In diesem Potpourri liegt die Gefahr, sich zu verzetteln und Blütenträume zu fördern.
Open-Source-Produkte nehmen wie ihre kommerziellen Konkurrenten auf der Angebotsseite am Marktgeschehen teil. Zwar kann man sie einsetzen, ohne eine Lizenzgebühr zu zahlen, doch steht die Wahl auf der Nachfrageseite jedem Anwender frei. Vernünftig handelnde Anwender werden sich für diejenige Lösung entscheiden, die gemessen an ihren Bedürfnissen das beste Kosten-Nutzen-Verhältnis verspricht. Repräsentiert das beobachtete Marktgeschehen die Ergebnisse vernünftiger Entscheidungen, können wir die Faktoren analysieren, die zu diesen Entscheidungen beitragen.
Der Markt zeigt immer wieder, dass Open-Source-Anwendungen nur in Nischen konkurrenzfähig sind. OpenOffice, Firefox, Linux als Desktop-Betriebssystem oder der Messenger Signal sind verfügbar, doch ihre Nutzerzahlen bleiben überschaubar, von Marktführerschaft keine Spur. Der Anonymisierungsdienst Tor zielt gar von vornherein auf eine Nische, er ist nur für Randgruppen relevant und für die Mehrheit nicht alltagstauglich. Besser schlägt sich Open-Source-Software dort, wo sie Anwender nicht zu Gesicht bekommen: Als Softwareinfrastruktur in Anwendungen verborgen und in Entwicklerwerkzeugen spielen Open-Source-Projekte wie Linux, die Apache-Projekte, OpenSSL, Eclipse und viele andere eine bedeutende Rolle. Das ist kein Zufall.
Der Markt für Softwareinfrastruktur lässt wenig Raum für dauerhafte Konkurrenz verschiedener Anbieter vergleichbarer Produkte, etwa verschiedener Webserver oder Unix-Kernel. Standardisierung, zum Beispiel von Protokollen, lässt wenig Raum für sinnvolle Produktdifferenzierungen. Zugleich bringen konkurrierende ähnliche Produkte kostspielige Kompatibilitätsprobleme mit sich, die wiederum zu Standardisierungsversuchen führen. Wer einmal Software zwischen verschiedenen Unix-Variantenportiert hat, kann ein Lied davon singen. Auch in der Qualität können sich unterschiedliche Anbieter nicht nennenswert voneinander abheben, weil die Anforderungen an alle dieselben sind.
Jede konzeptionell weitgehend ausentwickelte Komponente nur einmal statt in mehreren unabhängigen Varianten zu pflegen, ist deshalb optimal. Nicht optimal wären jedoch Herstellermonopole, die für das einzige Produkt seiner Art Mondpreise kassieren. Deshalb ist es für alle besser, Komponenten der Softwareinfrastruktur als eine Art Allmende zu behandeln, die allen zur Verfügung steht und alle zur Mitarbeit einlädt. Weil alle davon profitieren, gibt es wenig Förderbedarf. Es ist der Markt, der Open-Source-Software hier zum Erfolg führt. Die Linux-Foundation zum Beispiel wird von großen IT-Unternehmen und der Fondsgesellschaft BlackRock finanziert.
Anders funktioniert der Markt für Anwendungen und anwendungsnahe Dienste, denn sie bieten in vielen Merkmalen Differenzierungspotenzial und damit Raum für Konkurrenz. Deswegen kann man ERP-Systeme von SAP oder von Oracle kaufen, Browser von Google, Microsoft, Mozilla oder Brave, Office-Software von Microsoft oder Google und so weiter. Zu den wichtigen Merkmalen zählt nicht zuletzt der Preis, genauer die Gesamtkosten der Nutzung. Dass sich Open-Source-Alternativen hier selten durchsetzen können, deutet darauf hin, dass sie in der Gesamtsicht nicht das attraktivste Produkt liefern. Besonders deutlich wird dies, wo selbst betriebene Open-Source-Software gegen kommerzielle Anwendungsdienste antreten, etwa Jitsi und BigBlueButton gegen Zoom, aber auch im Vergleich verschiedener Dienste wie Signal gegen WhatsApp.
Von den Verfechtern der OSS-Alternativen gerne ignoriert oder kleingeredet, zeigen sich in vielerlei Hinsicht Defizite. So hinkte Signal im Funktionsumfang WhatsApp hinterher und ging seinen Nutzern auf die Nerven. Selbst gehostete Videokonferenzdienste verursachen Arbeitsaufwand und brauchen eine Vorlaufzeit, bis sie einsatzfähig sind, während man mit Zoom auf der Stelle loslegen kann. Ob man mit den Alternativen wirklich sicherer ist, liegt auch nicht so klar auf der Hand. Wer nüchtern hinschaut, findet die Gründe dafür, dass die Open-Source-Alternativen alternativ bleiben. Daran kann auch OMG-ihr-bezahlt-mit-euren-Daten!!1-Rhetorik bei kostenlos angebotenen Diensten nichts ändern, denn das ist offensichtlich für viele ein fairer Deal.
Analog gilt dies auch für hochwertige Clouddienste a.k.a. Platform as a Service (PaaS). Dort bekommt man für sein Geld nicht einfach Software, sondern eine Plattform, welche die Entwicklung und den Betrieb von Anwendungen erleichtert und den Einsatz von IT-Ressourcen flexibel anpassbar macht. Software ist dafür nur Mittel zum Zweck und die Dienstleistung steckt nicht im Programmcode.
Um es mit den etablierten kommerziellen Anbietern von Anwendungsdiensten und Cloudplattformen aufnehmen zu können, müsste man überlegene Dienste anbieten, ähnlich wie Airbus einst ein fortschrittliches Flugzeug auf den Markt gebracht hat. Open-Source-Software kann dafür Basiskomponenten gemäß dem oben skizzierten Allmendemodell bereitstellen, aber diese Baseline ist alleine gerade nicht konkurrenzfähig, sondern ein allgemein verfügbarer kleinster gemeinsamer Nenner. Den kann man lange fördern, ohne dass er sich je von irgend etwas positiv abhebt.
In keinem der beiden Segmente kann eine großzügige staatliche Förderung von Open-Source-Projekten den Markt umkrempeln. Stattdessen bekäme man künstliche Open-Source-Projekte wie die AusweisApp2 oder die Corona-Warn-App, die zwar Einblicke in den Quelltext und die Entwicklung gewähren sowie Community-Kontakte pflegen, letztlich aber Auftragsarbeiten bleiben. Das heißt nicht, dass es falsch wäre, öffentliche Entwicklungsprojekte so weit wie möglich zu öffnen, aber das bleibe eine eigene Spielart von Open Source.
Die Hoffnung, mit staatlich geförderten Open-Source-Projekten endlich die technologische Lücke von 1969 zu schließen, wird sich nicht erfüllen. Dennoch gibt es Potenziale für sinnvolle staatliche Förderungen. Die Strategien ergeben sich aus den beiden diskutierten Modellen.
Auf dem Gebiet der Softwareinfrastruktur kann der Staat als Stakeholder für wünschenswerte Eigenschaften wie Qualität, Sicherheit und Weiterentwicklung auftreten. Das FOSSA-Projekt der EU passt genau in dieses Muster. Europäische Alternativen und Europäische Souveränität entstehen dadurch jedoch nicht. Im Gegenteil, solange sich IT und Internet im Industriemaßstab eher außerhalb als innerhalb Europas abspielen, handelt es sich tendenziell um ein Geschenk an die Konkurrenz. Bleiben lassen muss man es deswegen nicht, aber mit realistischen Erwartungen herangehen.
Bei den Anwendungen und anwendungsnahen Diensten hat Förderung nur einen Sinn, wenn sie auf konkurrenzfähige Angebote zielt. Open Source wird dabei zum Nebenaspekt, im Vordergrund steht das Produkt aus Anwenderperspektive, das besser und kostengünstiger sein muss. Wer also Zoom oder WhatsApp doof findet, muss objektiv bessere Dienste objektiv preiswerter anbieten (und im Fall von WhatsApp noch mit den unvermeidlichen Netzwerkeffekten fertig werden). Es gibt sogar noch ein Spielfeld, auf dem es eher auf die Software als auf die Dienstleistung ankommt: Webbrowser. Chrome ist zurzeit unangefochtener Marktführer, Mozilla siecht dahin. Ein solide finanzierter unabhängiger Browser mit allem, was daran hängt, bleibt dringend nötig. Nebenbei bekäme man einen Träger für Datenschutztechnik, die uns das unsägliche Zustimmungsgeheische im Web erspart, und könnte bei der Webstandardisierung mitreden.
Keimzelle einer neuen europäischen Informationstechnikbranche wäre auch das nicht, aber es wäre sinnvoll. Im Gegensatz zum Versuch, spezifisch und strategielos das Attribut „Open Source“ zu fördern.
Gaia-X soll der Chuck Norris unter den Clouds – nein, das passt nicht, zu wenig europäische Werte. Gaia-X soll die Abteilung für Informationswiederbeschaffung unter den Clouds werden, der Goldstandard, die digitale Mondrakete. Wäre Elon Musk Europäer, hätte er statt eines Tesla Gaia-X ins All geschossen. Gaia-X war einziger Teilnehmer eines Wettbewerbs der Agentur für Sprunginnovation und schloss diesen mit einem überdurchschnittlichen Ergebnis ab. Gaia-X heilt Krebs. Chatbots werden mit Gaia-X zu geistreichen Gesprächspartnern. Gaia-X wird alle Versionen des Trolley-Problems in einem Tweet lösen. Gaia-X transzendiert Raum, Zeit, Rechenzentren und Unternehmen. Gaia-X läuft nicht in der Cloud, sondern die Cloud läuft in Gaia-X. Gaia-X braucht kein Geschäftsmodell, sondern Geschäftsmodelle brauchen Gaia-X. Amazon kauft bei Gaia-X ein. Uber lässt sich von Gaia-X ein Taxi rufen. Gaia-X sitzt in den Aufsichtsräten aller europäischen Internet-Konzerne. Mit Gaia-X wird Deutschland E-Government-Weltmeister. Die Büros von Gaia-X arbeiten papierlos. Gaia-X hatte seine Corona-App schon vor der Schweinegrippe fertig. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder empfiehlt Videokonferenzen per Gaia-X als Alternative zur Briefpost.
PS (2020-06-11): Die Fortsetzung gibt’s häppchenweise bei Twitter.
Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?
Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?
Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.
Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.
PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.
PS (2020-05-29): Die Guten™ unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.
PS (2021-04-04): In Der Aufstand des Mittelstands analysieren William Callison und Quinn Slobodian die Querdenkerei.
PS (2021-11-23): „Die ‚Querdenker‘ stellten sich als kritische Experten und heroische Widerstandskämpfer dar, erklärte die Soziologin Nadine Frei. Sie verstünden sich als wahre Verteidiger von Demokratie und Freiheit und als Teil eines ‚Kerns der Eingeweihten‘.“,zitiert der Tagesspiegel eine Studie der Uni Basel im Auftrag der Heinrich-Böll-Stiftung.
PS (2022-01-07): «Diese Vorstellung, die Menschen hätten einst im Einklang mit allem gelebt …»„Warum sollten wir nicht erstaunt sein, wenn auf Demos gegen die Pandemiemassnahmen plötzlich Regenbogenfahnen neben Reichsflaggen wehen? Der Journalist und Autor Andreas Speit über falsche Querfronten, die Mittelschichts-Bio-Bohème und die befreiende Wirkung einer Impfpflicht.“
Dass die Debatte um eine Corona-App zur Kontaktverfolgung entgleist ist, wird niemandem entgangen sein. Los ging es, als von einer App noch gar nicht die Rede war, mit dem Vorschlag, „irgendwas mit Händiortung zu machen“ und einer vorsorglichen Erlaubnis, die es dann doch nicht ins IfSG schaffte. Kurz darauf traten DP-3T und PEPP-PT auf den Plan, setzten den Fokus auf das Nebenthema Datenschutz unter Meidung einer sauberen Anforderungsanalyse und zerstritten sich über der Frage, welche Funktionen zentral und welche dezentral ablaufen sollten. Während dieser Streit weite Kreise zog, widmete die Öffentlichkeit den grundlegenden Problemen des Vorhabens und der lückenhaften Entwurfsarbeit wenig Aufmerksamkeit. Ein vorläufiges Ende setzte dieser wenig produktiven Diskussion die Bundesregierung mit ihrer Entscheidung, von SAP und der Telekom eine App auf der Grundlage von Gapples angekündigter Lösungsplattform entwickeln zu lassen, und sich schwierigeren Themen wie dem Immunitätspass zuzuwenden.
In einem Kommentar auf FAZ.NET macht Morten Freidel nun alleine „die Hacker“ für die Debatte und ihr Ergebnis verantwortlich. So sehr ich seinen Eindruck teile, dass organisierte Nerds etwa in Gestalt des CCC Expertentum und Aktivismus vermischen, ihr Auftreten in dieser Debatte keine Glanzleistung darstellt und ihre ewiggleichen Forderungen und Mahnungen manchmal mehr schaden als nützen, muss ich die Nerdaktivisten doch gegen den Vorwurf in Schutz nehmen, sie trügen die Hauptschuld am kommunikativen Desaster um die Corona-App.
Versagt hat zuerst die Bundesregierung. Sie hätte sich rechtzeitig Gedanken machen und einen Plan vorlegen sollen, ob und wie digitale Lösungen die Seuchenbekämpfung unterstützen sollen. Immerhin sitzt im Kanzleramt eine Staatsministerin für Digitalisierung, die jedoch wenig von sich hören lässt, seit Millionen Deutsche in ihren Heimbüros auf das Internet angewiesen sind. Stattdessen trieb die Öffentlichkeitsarbeit des PEPP-Konsortiums eine Zeitlang neben den Aktivisten auch die Bundesregierung vor sich her. Politisches Geschick zeigte die Regierung erst, als sie PEPP-PT seinen einzigen Claim vom Vertrauen durch technischen Datenschutz aus der Hand riss, gegen die Freischärler wandte und nebenbei noch die Entscheidung für Gapple und gegen eine eigene technische Basis ohne jeden Widerspruch durchsetzte.
Dass vorher aus PEPP-PT heraus ein Richtungsstreit „zentral vs. dezentral“ eskaliert war, ist ebenfalls nicht zuerst Nerdaktivisten anzulasten. Dieser Streit geriet in die Öffentlichkeit, als dreihundert Wissenschaftler in einem offenen Brief Partei ergriffen für eine forschungsnahe Technologieentwicklung („dezentral“) und gegen einen undogmatischen, zielorientierten Entwicklungsprozess*. Zu welchen Anteilen dieser offene Brief durch ehrliche Bedenken, auf die Gruppendynamik eines stabilen Beziehungsnetzes oder auf gekränkten Narzissmus zurückgeht, wissen nur die Akteure. Festzuhalten bleibt: 300 Wissenschaftler haben mit ihrer lautstarken Äußerung die falsche Dichotomie „zentral vs. dezentral“ gestärkt, offensichtliche Schwächen in der Anforderungsanalyse und im Entwurfsprozess hingegen übersehen und sich dann einen schlanken Fuß gemacht.
Einen schlanken Fuß macht sich auch die Bundesregierung, was gesetzliche Regelungen für die Kontaktverfolgung angeht. Kein Vorschlag liegt auf dem Tisch und man hat wohl auch nicht vor, dieses Thema in Zukunft zu regeln. Dabei hätte ein vertrauensbildender Regelungsvorschlag als Gegenpol zur technikfixierten PR von PEPP-PT einen weit konstruktiveren Beitrag zur Debatte geleistet als die letztendliche Richtungsentscheidung um ein technisches Detail.
Auf den engen datenschutztechnischen Fokus der Debatte eingestiegen zu sein und keine Ausweitung auf eine Gesamtsicht gefordert zu haben, mag man vielen Nerds vorwerfen. Historisch gesehen hat die Hacker- und Nerdaktivistenszene gewiss auch einen Anteil daran, dass Datenschutz inzwischen wichtiger scheint als Konzept und Funktion eines Systems. Die Verantwortung für das Scheitern der Corona-App-Debatte jedoch liegt primär bei anderen, bei PEPP-PT, bei der Bundesregierung und bei den eingeschnappten Professoren.
*) Ich spekuliere, da ich PEPP-PT nur aus den Nachrichten kenne. Auf mich wirkte es jedoch so, als habe man dort entwickelt und dabei gelernt; ich sehe gute Gründe, auf „dezentralen“ Extremismus zu verzichten.
Das Surveillance Outbreak Response Management & Analysis System (SORMAS) aus dem Helmholtz‐Zentrum für Infektionsforschung (HZI) unterstützt Gesundheitsdienste beim Kontaktpersonen- und Fallmanagement. Es ist ausgelegt auf die Nutzung mit mobilen Geräten auch in Ländern mit schwacher Infrastruktur, das heißt vielen Funklöchern.
SORMAS hat mehr als fünf Jahre Entwicklungsarbeit und Einsatzerfahrung hinter sich. Die Lösung wurde unter anderem in der Bekämpfung von Ebola-Ausbrücken erfolgreich eingesetzt und ist mittlerweile in mehreren afrikanischen Ländern dauerhaft im Einsatz.
Keiner der Spezialexperten, die sich in den vergangenen Wochen die automatisierte Kontaktverfolgung zum Thema der Stunde erklärt und sich zum Randaspekt Datenschutz öffentlich einen runtergeholt haben, hat SORMAS je erwähnt. Ich schließe mich da ein, ich hatte es auch nicht auf dem Radar und bin erst heute in einer LinkedIn-Diskussion darauf gestoßen.
PS: In Berlin wird SORMAS seit einigen Tagen eingesetzt.
Seit Mitternacht schweigen nun an einer Front die Waffen: Die Bundesregierung kapituliert bedingungslos vor dem Aufschrei einiger Datenschutztechnikexperten und entscheidet sich für eine dezentrale Architektur zur Kontaktverfolgung. Nur dies schaffe das nötige Vertrauen, lässt sich Kanzleramtsminister Braun zitieren. Inwieweit sich damit die Anforderungen der Praxis erfüllen lassen, bleibt unterdessen unklar, denn mit solchen Fragen hat sich offenbar niemand beschäftigt. Die Regierung hat sich in Sachen Digitalisierung wieder einmal aufs Glatteis führen lassen. Das Projekt Corona-App wird voraussichtlich die Misserfolgsgeschichten der Gesundheitstelematik, des elektronischen Personalausweises und der Blockchain-Strategie fortsetzen. Das liegt nicht an der Technik, sondern an mangelnder Kompetenz in der Technikgestaltung.
Begonnen hatte alles vor einigen Wochen mit den öffentlichen Auftritten von DP-3T und PEPP-PT, anfangs noch in einer Allianz und scheinbar am gleichen Strang ziehend. Damit begann eine von Anfang an verzerrte Debatte über „die Corona-App“. Zum einen stand unvermittelt ein spezifischer Ansatz im Raum, nämlich die automatisierte Kontaktverfolgung und Benachrichtigung von Kontaktpersonen. Sinnhaftigkeit, Erfolgsaussichten und Erfolgsbedingungen dieses Ansatzes sowie andere Wege der digitalen Seuchenbekämpfung wurden kaum diskutiert; alle wollten an unsere wundersame Rettung durch Technomagie glauben. Nur ein Kritikpunkt ließ sich nicht umschiffen: Die automatisierte Kontaktverfolgung würde nur funktionieren, wenn fast alle mitmachten. Ausgerechnet Datenschützer mit ihrem Faible für Selbstbestimmung wiesen früh darauf hin, dass dies bei freiwilliger Nutzung unrealistisch sei, ohne deswegen freilich einen Zwang zu fordern. Ein kleinerer Zweig der Debatte dreht sich daher um die Frage der Freiwilligkeit.
Den Schwerpunkt hingegen setzte PEPP-PT selbst: In Voraussicht auf typisch deutsche Technikkritik und den Hang einiger Akteure, die Verarbeitung personenbezogener Daten für eine Risikotechnologie mit nuklearem Gefahrenpotenzial zu erklären, rückte man statt des Anwendungsentwurfs den technischen Datenschutz in den Mittelpunkt seiner Selbstdarstellung. Wie und wie gut der eigene Ansatz funktionieren würde, wusste man bestenfalls ungefähr, was ist in frühen Phasen der Entwicklung auch völlig normal und unvermeidlich ist. Jedoch werde die eigene Lösung auf jeden Fall perfekte technische Datenschutzvorkehrungen umfassen, denn nur so sei bei den Bürgerinnen und Bürgern das nötige Vertrauen zu gewinnen. Dass Kanzleramtsminister Braun dem Projekt PEPP-PT später mit genau diesen Worten den Todesstoß versetzen würde, war da noch nicht absehbar – dass jemand auf dem Holzweg war, hingegen schon. Im weiteren Verlauf der Entwicklungsarbeit, die immer auch ein Lernprozess ist, musste man sich anscheinend von diesem anfänglichen Extremismus verabschieden, auch dies nicht ungewöhnlich.
Unterwegs gingen zwei Dinge schief. Erstens hatte man sich den Weg zu einer offenen Anforderungsanalyse verbaut, denn alles musste sich nun dem Datenschutz-Ideal unterordnen. Mit den Gesundheitsämtern vor Ort zum Beispiel redete – anders die Entwickler von TraceTogether in Singapur oder vermutlich auch jene der südkoreanischen Lösung – anscheinend niemand und so macht der Deutsche Landkreistag seine Vorstellungen in einem Brief an den Gesundheitsminister und das Kanzleramt geltend (paywalled). Statt einem Weg, anonyme und folgenlose Nachrichten in den Cyberspace zu rufen, hätte man dort gerne Namen und Orte. Ob das es am Ende so umgesetzt werden sollte, sei dahingestellt; auf jeden Fall stecken hinter solchen Forderungen Bedürfnisse, die ein Entwicklungsprojekt erfassen und berücksichtigen muss. Vermutlich hat PEPP-PT so etwas sogar versucht oder einfach unterwegs das Problem besser verstanden, doch von dem öffentlich eingeschlagenen Pflock „perfekter technischer Datenschutz“ kam man nicht mehr los.
Zweitens verselbständigte sich die Datenschutzdiskussion und wandelte sich schnell zu einer Glaubensfrage. Zwar lagen zumindest der Öffentlichkeit weiter nur vage Ideen einer App zur Kontaktverfolgung vor, die irgendwo vom Himmel gefallen waren, doch statt über grundlegende konzeptionelle Fragen zu reden, positionierten sich alsbald allerlei Personen und Einrichtungen in einem der Lager „zentral“ oder „dezentral“. Teils handelte es sich um ehrliche, aber überfokussierte Eiferer wie den CCC, teils waren wohl auch handfeste Interessen im Spiel wie bei den Professoren, die sich nach der Abkehr vom Forschungsprototypen DP-3T ihrer Bedeutung beraubt sahen. Obendrein mischten sich auch noch Google und Apple, trotz interessanter technischer Ansätze als Plattformanbieter Inbegriffe der Zentralisierung, mit eigenen Angeboten ein und weckten teils Vertrauen in ihre Fähigkeiten, teils aber auch antiamerikanische Instinkte.
Schnell schoss sich die Szene medienöffentlich auf die Forderung nach einem dezentralen Ansatz ein, während dagegen sprechende Anforderungen nur langsam zu Tage treten. Unterdessen hielt die Bundesregierung ihre Füße still und ließ der Debatte freien Lauf, ohne selbst etwas beizutragen. Sie zweifelte nie an der unbelegten These von der Vertrauen durch Datenschutztechnik und verzichtet bis heute darauf, öffentlich die rechtlichen und organisatorischen Rahmenbedingungen für den Einsatz einer Corona-App zu klären. Dabei ist die kritiklos übernommenen Ursprungsidee nicht einmal plausibel, denn zum einen versteht kaum jemand die technischen Details, zum anderen zeigen die (wahrscheinlich zu Recht) ungehört verhallenden Mahnungen der Datenschützer vor massenhaft genutzten Diensten wie Google, Facebook, WhatsApp oder aktuell Zoom, dass Vertrauen gerade nicht durch den Segen von Datenschützern und Aktivisten entsteht.
Statt das Ihre zur Vertrauensbildung zu tun, ergibt sich die Bundesregierung nun einer überschaubaren öffentlichen Erregung und schließt sich der Forderung nach (scheinbar) perfektem Datenschutz an, während eine Debatte über Anforderungen und Anwendungsentwürfe weiter unterbleibt. Damit tritt das Projekt Corona-App in die Fußstapfen wenig erfolgreicher Vorgänger. Die Gesundheitstelematik – ihr Konzept inzwischen so altbacken wie die Bezeichnung – sollte das Gesundheitswesen vernetzen und dabei Gesundheitsdaten perfekt kryptografisch vor unbefugtem Zugriff schützen. Nach fünfzehn Jahren Entwicklungszeit ist kaum mehr herausgekommen als ein VPN sowie ein Stammdatendienst. Wenig später sollte der elektronische Personalausweis allen Bürgerinnen und Bürgern einen Identitätsnachweis fürs Internet verschaffen. Seine Datenschutzmechanismen sind nahezu perfekt, doch da man Anwenderbedürfnisse ignoriert und das Konzept über die vergangenen zehn Jahre auch kaum weiterentwickelt hat, benutzt fast niemand die eID-Funktion. Bei der Blockchain schließlich ging es zwar nicht um Datenschutz doch auch hier stand eine Technik im Mittelpunkt, von der man Wunderbares erwartete. Diesen Glauben ließ man sich in Berlin nicht von geringer Plausibilität der Anwendungsideen erschüttern. Darüber hinaus brachten die Blockchain-Evangelisten das Schlagwort „dezentral“ ins Spiel und verkauften es unbegründet als Qualitätsmerkmal. Sollte hier die wahre Wurzel der Entscheidung liegen?
Am Beispiel der Corona-App zur Kontaktverfolgung zeigt Deutschland erneut, wie es an politisch belasteten Digitalprojekten scheitert. Mit Ruhm bekleckert hat sich keiner der Beteiligten. An entscheidenden Stellen mangelt es an Kompetenz, hinzu kommen Meme aus der EDV-Steinzeit, die sich niemand zu beerdigen traut. So wird das nichts. Dass es wieder etwas länger dauern wird, steht schon mal fest.
PS: Ich frage mich auch, ob eine Projektstruktur tragfähig ist, in der technische Entscheidungen nach politischer Wetterlage von Ministern getroffen werden, wobei der Gesundheitsminister hü sagt und das Kanzleramt wenig später hott. Ich frage mich außerdem, wieso die Gematik als Projektgesellschaft für die Digitalisierung des Gesundheitswesens in der ganzen Diskussion nicht einmal vorkommt. Eigentlich sollte sie prädestiniert sein, ein Vorhaben wie die Corona-App voranzutreiben und umzusetzen. Tatsächlich ist sie es wohl nicht.
Die Diskussion krankt daran, dass sie in der Öffentlichkeit vorwiegend auf PR-Niveau geführt wird statt mit handfesten Argumenten. Echte Risikobetrachtungen liest man kaum, stattdessen bleiben die vorgetragenen Bedenken und Argumente ätherisch. Als Beispiel lesen man etwa das Papier Germany’s Preliminary 5G Decision: Limiting Damage and Learning Lessons der DGAP: Dort fehlt jede nachvollziehbare Risikoeinschätzung und die Autoren fordern, die Entscheidung über den Einsatz nicht Leuten mit Ahnung von der Materie wie dem BSI , sondern der Politik zu überlassen. So würde man wohl auch argumentieren, arbeitete man als PR-Agentur für einen von Huaweis Konkurrenten.
Aus Sicht des Sicherheits- und Risikomanagements stellt sich jedoch zuerst die Frage, welche Szenarien eigentlich gegeneinander abzuwägen sind und was man gewinnen oder verlieren kann. An einem Kommunikationsnetz interessieren uns unmittelbar seine Verfügbarkeit sowie möglicherweise die Vertraulichkeit der Kommunikation, mittelbar als Voraussetzung dafür die Integrität des Netzes und seiner Komponenten, die jeder Hersteller untergraben kann.
Am geringsten zusätzlich bedroht ist die Vertraulichkeit der übermittelten Inhalte. Dafür verlässt sich ohnehin niemand auf ein öffentliches Netz, sondern wer auf Vertraulichkeit Wert legt, muss ein Protokoll zur Ende-zu-Ende-Verschlüsselung wie z.B. TLS einsetzen. Bei korrekter Anwendung eines solchen Protokolls sind die attraktivsten Angriffe dann solche auf die Software der Endpunkte, insbesondere die Anwendungssoftware.
Ebenso bedeutsam ist, wie wir spätestens seit Snowden wissen, die Vertraulichkeit der Metadaten – wer kommuniziert wann, wo und mit wem? Hier stellen sich Fragen wie:
Welchen echten Vorteil brächte der direkte Durchgriff auf den Hersteller Huawei im Vergleich zu einem unabhängigen Akteur, der die Komponenten lediglich analysiert?
Welche Informationen könnten die Chinesen ohnehin schon unkompliziert einsammeln, solange sie uns Computer, Smartphones und IoT-Geräte liefern?
Inwieweit kann der praktische Betrieb Risiken kompensieren, wenn Spione nicht nur theoretisch, sondern auch praktisch an Daten herankommen müssen und es sich dabei um nennenswerte Datenmengen handelt?
Wo und wie würde man die relevanten Daten einsammeln, wenn man keinen besonderen Zugang zur Netztechnik hätte?
Kurz und gut, wie viel leichter hätten es die Chinesen dank Huawei als andere Mächte mit ihren Nachrichtendiensten?
Auch hinsichtlich der Verfügbarkeit stellt sich die Frage nach der Baseline, dem Ausgangsniveau. Angenommen, die Chinesen könnten unsere 5G-Netze jederzeit ausknipsen, wieviel leichter hätten sie es dann als ein anderer Akteur, der etwa Spezialeinheiten mit Sprengstoff losschickt? Die Bahn zum Beispiel hat ab und zu Probleme mit heimischen Terroristen, die aus einer politischen Motivation ganz banal Kabelschächte anzünden und damit großen Schaden anrichten. Was könnten staatlich unterstützte Kräfte zu welchem Preis mit klassischer Sabotage anrichten?
Sähe ich solche Fragen diskutiert, fiele es mir leichter, die ganze Debatte ernst zu nehmen. Alternativ könnten wir die Sicherheit in den Hintergrund rücken und einfach offen über Wirtschaftspolitik reden. Vielleicht wäre es ja aus dieser Perspektive eine gute Idee, europäischen Anbietern den Vorzug zu geben und wenn das jemand nachvollziehbar begründen könnte, hätte ich gar nichts dagegen, dass wir das dann auch tun.
Unterdessen kann sich Bill Gates in Huawei einfühlen, denn Microsoft hatte einst dasselbe Problem: „Wir wurden gefragt, ob Windows irgendwelche NSA-Dinge eingebaut hat“. Ob diese Erinnerung die aktuellen Warnungen vor Huawei glaubwürdiger macht, möge jeder für sich entscheiden.
PPS: Den Security-Chef der Telekom wollte man lieber nicht anhören. Netzbetreiber wie die Telekom sind gegen den Ausschluss von Huawei, während der Ausschussvorsitzende Röttgen die Beteiligung von Huawei am 5G-Ausbau für schlimmer hält als einen GAU im Kernkraftwerk. (2019-11-12)
Warum viele im Osten AfD wählen und weshalb Belehrung und Schelte sie davon nicht abbringen – eine subjektive Hypothesenbildung
Thüringen hat einen neuen Landtag gewählt und im Ergebnis scheint – geografisch ein Zufall, politisch jedoch nicht überraschend – ein Hauch Weimar durch. Gleich hinter der Linken als Wahlgewinner, dies ein Thüringer Spezifikum, kam die AfD mit einem Viertel der Wählerstimmen ins Ziel, nach Brandenburg und Sachsen vor einigen Wochen ein weiterer Erfolg für sie. Wie schon die ganzen Wahlkämpfe hindurch steht die veröffentlichte Meinung händeringend vor dem Ossi und fragt sich, wieso der einfach nicht aufhöre, rechts zu wählen, habe man ihm doch nun oft genug gesagt, dass sich das nicht gehöre und was für Halunken die gewählten seien. Warum nur höre der Ossi nicht? Liege es an seiner Erziehung in der vor dreißig Jahren untergegangenen DDR, an unverarbeiteten Kränkungen nach 1990 oder gar in seinem Blut, dass er die AfD für bürgerlich und wählbar halte, oder trage am Ende Thilo Sarrazin die Schuld an allem? Und wieso überhaupt habe ausgerechnet der Ossi etwas gegen Ausländer, gebe es doch bei ihm zu Hause gar nicht so viele davon? Müsse man am Ende gar so viele dort ansiedeln, dass er es endlich lerne?
Die AfD steht für restriktive Zuwanderungspolitik und die Zurückdrängung des Islam und wird genau deswegen gewählt. Das macht andere fassungslos. Aus ihrer Sicht ist das ein Rückfall in finstere Zeiten und sie können sich den wachsenden Zuspruch nur wahlweise mit Dummheit oder Böswilligkeit der Wählerinnen und Wähler erklären. Tatsächlich jedoch beziehen sich beide Seiten auf unterschiedliche Zuwanderungserfahrungen und Entwicklungsstände. Vielen im Westen sowie progressiven Kräften im Osten scheinen Grundsatzfragen der Zuwanderung geklärt: Deutschland habe sich über Jahrzehnte zum Einwanderungsland entwickelt und das sei auch gut so. Aus ihrer Sicht kommt jedes Rütteln daran einem Rückschritt gleich. Diese Perspektive stützt sich auf die westdeutsche Zuwanderungserfahrung von den Gastarbeitern über die Asyldebatte bis heute. Aus ostdeutscher Perspektive hingegen erscheint sichtbare Zuwanderung, zumal aus islamisch geprägten Kulturkreisen, als eine neue Entwicklung der letzten zehn Jahre mit einer dramatischen und unmotivierten Zuspitzung um das Jahr 2015. Grundverschiedene Sichten auf dasselbe Geschehen und wechselseitiges Unverständnis, welches das jeweilige Gegenüber als gefährlichen Irren erscheinen lässt, sind aus diesen unterschiedlichen Erfahrungen und Perspektiven zu erklären.
Die Trennlinie dazwischen verläuft nicht streng zwischen Ost und West, es handelt sich überhaupt eher um eine statistische Auffälligkeit denn eine scharfe Abgrenzung. Dennoch bilden die ungleichen Geschichten der Migration nach West beziehungsweise Ost den Schlüssel zum Verständnis.
Zuwanderung in den Westen:
Eine mühsame Erfolgsgeschichte
Die Wurzeln der gesamtdeutschen Migrationspolitik liegen im Westen. Der westdeutsche Weg zu Einwanderungsland begann, zunächst unbewusst und in der Konsequenz unbeabsichtigt, in den 1950er Jahren mit der Anwerbung von Gastarbeitern. Unter deren Herkunftsländern waren mit der Türkei, Marokko und Tunesien seit Anfang der 60er Jahre auch islamisch geprägte Länder. Die Vorstellung vom nur vorübergehenden Aufenthalt der Gastarbeiter musste bald der Einsicht weichen, dass viele bleiben und Familien nachholen wollten, was sie auch taten. Mit dem Anwerbestopp 1973 hörte die Zuwanderung nicht auf, sondern setzte sich mit Familiennachzug, Asylsuchenden sowie zeitweise mit Aussiedlern fort.
In den 80er Jahren mehrten sich Ängste vor „Überfremdung“ und eine heftige, lange andauernde Auseinandersetzung um die Zuwanderungspolitik der alten Bundesrepublik setzte ein. So sinnierte Anfang der 80er Jahre der frischgebackene Bundeskanzler Kohl insgeheim, der in Deutschland lebenden Türken gebe es zu viele und zu sie seien zu fremd, weshalb man ihre Zahl um die Hälfte reduzieren müsse. Wenig später legte seine Regierung mit diesem Ziel eine nur mäßig erfolgreiche Rückkehrprämie auf. Ab Mitte der 80er Jahre erstarkten die Republikaner unter Franz Schönhuber, erzielten eine Zeitlang Achtungserfolge bei Wahlen und zwangen insbesondere die Union, sich mit der richtigen Balance zwischen Öffnung und Abgrenzung am rechten Rand zu beschäftigen. Ebenfalls Mitte der 80er verkleidete sich aber auch Günter Wallraff als Türke Ali, führte den Deutschen in seiner Reportage „Ganz unten“ ihren Umgang mit den Zuwanderern vor Augen und erinnerte sie daran, was sie an „ihren“ Türken hatten: willige und billige Arbeitskräfte für besonders schmutzige oder gefährliche Tätigkeiten.
Unterdessen waren die Kinder der einstigen Gastarbeiter erwachsen geworden und schickten sich an, die von Wallraff beschriebenen Verhältnisse hinter sich zu lassen und vollwertige Mitglieder der deutschen Gesellschaft zu werden, schließlich waren sie hier geboren. Im Jahr 1994 zogen mit Leyla Onur und Cem Özdemir die ersten Abgeordneten mit türkischen Eltern in den Bundestag ein. Langsam wich die Überfremdungsangst der Einsicht, dass Zuwanderung nun einmal stattgefunden hatte und in einem kontrollierten Rahmen weiter stattfinden würde. Der Sprachgebrauch wandelte sich, aus Ausländern und Asylanten wurden erst ausländische Mitbürger und dann Mitbürger mit Migrationshintergrund. Um die Jahrtausendwende regelte die rot-grüne Koalition von Bundeskanzler Schröder Sachfragen wie wie die doppelte Staatsbürgerschaft und die Zuwanderung von Fachkräften.
Die Zuwanderung der Vergangenheit war nun normalisiert und setzte sich vorerst nur in geringem Umfang fort. Die damit zusammenhängenden Debatten hörten allerdings nicht einfach auf, sondern fokussierten sich nach dem 11. September 2001 und weiteren islamistischen Terroranschlägen zunehmend auf den Umgang mit dem eingewanderten Islam. Davon zeugen zu Beispiel die Kontroverse um die DİTİB-Zentralmoschee in Köln und Bestseller wie Henryk M. Broders „Hurra, wir kapitulieren!“ oder Thilo Sarrazins „Deutschland schafft sich ab“ sowie die Reaktionen darauf. Nichtsdestotrotz erscheint die Zuwanderungserfahrung (West) in der Summe als eine mühsam erkämpfte Erfolgsgeschichte. Mögen auch Probleme und Reibereien bleiben und sich Debatten etwa am Umgang deutscher Fußball-Nationalspieler mit der türkischen Regierung entzünden, so lebt doch eine große Zahl einstiger Einwanderer und ihrer Nachkommen gut integriert in Deutschland und Döner Kebab ist ein deutsches Nationalgericht geworden. So könnte es für immer weitergehen.
Zuwanderung in den Osten:
Lange nichts, dann ein Schock
Der Osten erlebte Zuwanderung ganz anders, nämlich lange Zeit überhaupt nicht beziehungsweise nur als Zuschauer im Westfernsehen, und vor kurzem dann real und als Schock. Auch die DDR begann in den 60er Jahren mit der Anwerbung von Vertragsarbeitern und steigerte deren Anzahl bis zu ihrem Ende kontinuierlich. Ihre Gesamtzahl blieb jedoch vergleichsweise gering und eine Bleibeperspektive bekamen sie nie. Auch sonst bestanden keine Anlässe für eine nennenswerte Einwanderung in die DDR – wer wollte schon in ein Land, das seine Bürgerinnen und Bürger mit Mauern und Soldaten vom Davonlaufen abhalten musste.
Daran änderte sich nach dem Beitritt zur Bundesrepublik zunächst wenig. Zwar trat in der gesetzarmen Zeit nach dem Zusammenbruch der alten staatlichen Ordnung ein unerwartet dicker Bodensatz an Ausländerhass und Rechtsextremismus zutage und mischte sich mit den Pogromen von Hoyerswerda und Rostock sowie weiteren Angriffen auf die wenigen anwesenden Ausländer in die Endphase der nunmehr gesamtdeutsch gewordenen Asyldebatte ein, doch Zuwanderung und Integration blieben im Wesentlichen ein Thema des Westens. Der Osten kämpfte mit seiner Entindustrialisierung, mit Geburtenrückgang und Abwanderung. Obendrein zogen bis 1994 die sowjetischen Streitkräfte ab. Das Land leerte sich; wer blieb, war mit sich beschäftigt und bis auf einige großmäulige Besserwessis kam niemand und störte dabei. Anlässe für Zukunftssorgen gab es reichlich, doch Migration gehörte bei nüchterner Betrachtung kaum dazu. Zudem gingen die Asylbewerberzahlen ab 1993 schnell zurück und ein paar russlanddeutsche Aussiedler waren nicht halb so fremd wie Moscheen und Kopftücher. Berlin-Kreuzberg mochte ein Klein-Istanbul sein, in Rostock, Jena oder Dresden hingegen war bis auf zunehmende gastronomische Diversität von Zuwanderung wenig zu spüren. Wenigstens das blieb im großen Umbruch konstant.
Ein wenig EU-Binnenwanderung mochte stattfinden, aber sie war keine Bedrohung blieb unauffällig. Anderes wurde nach der Jahrtausendwende sichtbar. So kam es etwa 2007/08 zum Leipziger Disko-Krieg, Auseinandersetzungen zwischen einer Gruppe von Männern mit diversen Migrationshintergründen, die sich selbst Kanaken nannten, und der örtlichen Türsteherszene. Der Höhepunkt im Frühjahr 2008: Randale im Nachtleben der Leipziger Innenstadt mit einem Todesopfer. Offenbar gab es jetzt auch „bei uns“ Ausländergangs, die um sich schossen. Das 1990 schnell aufgetauchte Zuhältermilieu hatte sich zwar ähnlich benommen, aber noch überwiegend mit den Akzenten der Brüder und Schwestern gesprochen.
Obwohl solche Ereignisse punktuell blieben und einzeln wie in der Summe kein Drama darstellten, blieben sie als überraschend und gewöhnungsbedürftig im Gedächtnis. Parallel dazu setzte eine weitere Entwicklung ein: Ab 2009 nahm die Zahl der Asylbewerber in Deutschland wieder zu und dieser Trend beschleunigte sich bis 2015. Von 2012 bis 2016 wuchs die Zahl der Asylanträge exponentiell mit ungefähr einer Verdoppelung im Jahrestakt. Auf dem Höhepunkt 2015, als die jährlichen Asylbewerberzahlen sogar jene von 1992 während der Asyldebatte überstiegen, regte sich gesamtdeutscher Unmut. Die daraus resultierenden subjektiven Erfahrungen aber unterschieden sich fundamental zwischen Ost und West.
Im Westen fiel diese Welle zwar auf, aber vielerorts nicht als dramatische Veränderung einer ohnehin migrationserfahrenen Gesellschaft. Für den Osten hingegen war es die erste große Einwanderungswelle überhaupt seit der Flucht und Vertreibung am Ende des Zweiten Weltkrieges. Sie kam ohne Einladung und ohne das Eigennutzversprechen der Gastarbeiter und sie brachte den Islam mit, den man zwar selbst vor allem aus dem Fernsehen oder vielleicht von Urlaubsreisen kannte, der aber keinen einwandfreien Leumund mehr hatte. Alleine zahlenmäßig brachte diese Migrationswelle für den Osten eine viel größere relative Veränderung mit sich als für den Westen. Binnen weniger Jahre verdoppelten sich die Anzahl und der Bevölkerungsanteil von Ausländern etwa in Sachsen, Thüringen und Brandenburg. Binnen kurzer Zeit wurde Zuwanderung sicht- und greifbar, die sich vorher nur langsam und im Stillen abgespielt hatte. Dieser Vorgang muss auf viele im Osten schockierend gewirkt haben.
Frontenbildung und Wechselseitiges
Unverständnis
Hier brach die Kommunikation zusammen und es bildeten sich jene Fronten, die einander bis heute verständnislos und unversöhnlich gegenüberstehen. Wer die westliche Einwanderungsgeschichte verinnerlicht hatte und positiv bewertete, wer das „Wir schaffen das!“ der Kanzlerin teilte, sah in der Sache kein übergroßes Problem. Wer jedoch schockiert war, sei es nun objektiv gerechtfertigt oder nur aus subjektivem Erleben, fragte sich hingegen, was da geschah, warum es geschah, und warum „uns“ niemand gefragt hatte. In einer besseren Welt hätte man darüber ruhig und sachlich debattiert, doch das geschah nicht. Wann immer die Schockierten versuchten, sich zu artikulieren – gewiss oft unbeholfen und im Verein mit falschen Verbündeten, aber doch im Grundsatz legitim und nachvollziehbar – wirkten sie auf die anderen nur wie Echos vergangener Asyl- und Sarrazin-Debatten und war nicht der Osten schon immer etwas zu rassistisch und rechtsextrem gewesen? Als Antwort auf diese vermeintlich bekannten Schlüsselreize folgten routinierte Abwehrreaktionen, der Kampf „gegen rechts“ wurde verschärft.
Doch das rhetorische Arsenal der Ablehnung, Ausgrenzung und Delegitimierung wirkt doppelt kontraproduktiv. Nicht nur behinderte seine Anwendung einen konstruktiven Dialog und wechselseitiges Verständnis, es weckte auch seinerseits Abwehrreflexe. Im Osten erinnert sich so mancher noch daran, wie einst die Funktionäre in der DDR ihre Diskursmacht ausübten, wie jeder wusste, welche Äußerungen erlaubt und erwünscht waren und welche man besser unterließ, wenn man keinen Ärger bekommen wollte. Ebenso gut erinnert man sich an die späteren Belehrungen der Besserwessis in der Zeit der faktischen Zwangsverwaltung durch den Westen. Das wollte man sich nicht noch einmal gefallen lassen. Auch offensiver verbaler Antifaschismus wirkt nicht als Einladung zum Dialog, wenn sich das Gegenüber aus eigenem Erleben oder familiärer Überlieferung noch an den amtlichen Euphemismus vom antifaschistischen Schutzwall erinnert und daran, wie man ihn eines Tages unter großem Jubel von allen Seiten durchlöcherte.
Diese Kommunikationsstörung hält bis heute an und mittlerweile sieht jeder im anderen einen Haufen gefährlicher Irrer, weil es nie einen offenen und gelassenen Austausch über die unterschiedlichen Erlebnisse und Voraussetzungen gab. Stattdessen machten die einen den „besorgten Bürger“ zum Schimpf- und Spottbegriff, während sich die anderen mit ihren für sie realen und berechtigten Sorgen alleine gelassen fühlen. Dahinter steckt oft nicht einmal böser Wille, sondern nur die Unfähigkeit, die Perspektive von Menschen aus einem etwas anderen Land zu sehen. So berichtet nach der Thüringer Landtagswahl eine Lehrerin auf Twitter von Reaktionen ihrer Schülerinnen und Schüler, 75% mit Migrationshintergrund, auf das Wahlergebnis und deren Befürchtungen sind rührend und nachvollziehbar. Auf die Schockierten (Ost) aber wirken die beiläufig und selbstverständlich erwähnten drei Viertel wie eine Erscheinung aus einer anderen Welt, welche neuerdings anscheinend auch die ihre werden solle. Ausdrücken können sie das nicht, ohne nicht sogleich mit Ablehnung übergossen zu werden. Nur ein Akteur ist zur Stelle, der den Schockierten und Besorgten zuzuhören scheint, sie ernst zu nehmen, sie zu vertreten und die Gegenseite auf vergleichbare Weise zu piesacken: die AfD.
Miteinander reden, nicht gegeneinander oder übereinander
Enden kann dieser unproduktive Grabenkrieg nur, wenn erfolgreiche Kommunikation die gescheiterte ablöst. Dazu müssen beide Fronten einsehen, dass sich zwei Deutschlands über vierzig Jahre und zwei Teile eines Deutschlands über noch einmal dreißig unterschiedlich entwickelt haben, dass zwar die staatliche Einheit vollendet ist, aber keine Gleichheit der Gedanken und Erfahrungen, die es nie geben wird. Sie müssen sich austauschen über ihre verschiedenen Weltsichten und die verschiedenen Erlebnisse dahinter. Gelingt dies, können wir wichtige Fragen unter expliziter Berücksichtigung aller legitimen Perspektiven neu verhandeln und entscheiden. „Besorgter Bürger“ darf kein Schimpfwort sein, wenn die Sorge echt und aus Geschichte und Erleben nachvollziehbar ist und im Rahmen realistischer Gestaltungsspielräume neu zu verhandeln bedeutet nicht, Höckesche Phantasien oder überhaupt irgendeine radikale Forderung zu bedienen.
Kurz nach der Vereinigung ist das schon einmal gelungen, als ein Kompromiss zwischen den weit auseinanderklaffenden gesetzlichen Regelungen des Schwangerschaftsabbruchs gefunden werden musste und wurde. Vielleicht war das damals trotz der Schwere des Themas einfacher, weil die in dieser Frage liberale Tradition der DDR Seite an Seite mit kampferprobten progressiven Kräften im Westen stand. Doch auch in anderen Fragen verlaufen die eigentlichen Konfliktlinien nicht streng zwischen Ost und West, die Positionen wirken nur verschieden auf Menschen verschiedener Herkunft.
Bekommen wir das hin oder wollen wir einander die Köpfe einschlagen bis wir reif sind für eine neue Diktatur?
In Deutschland zählt der Beamte traditionell mehr als die Bürgerin, die ihm gegenübersitzt. Einige deutsche Staaten nutzten das mehr aus als andere und gegenwärtig haben wir es vergleichsweise gut, doch ganz gelegt hat sich diese Haltung nie und auch das Internet bleibt davon nicht verschont. Als die Öffentlichkeit in den 1990er Jahren das Internet entdeckte, beschäftigten wir uns erst einmal langwierig mit der Frage, wie rechtsgültige digitale Unterschriften auszusehen hätten. Sie seien Voraussetzung für einen sicheren E-Commerce, hieß es damals. Währenddessen legten andere die Grundsteine für Imperien wie Amazon und Google, neben denen sich unsere Digitalwirtschaft heute klein und hässlich ausnimmt.
Ein Vierteljahrhundert später lässt sich der Misserfolg unserer Strategie kaum leugnen. Einstige Leuchttürme der E-Bürokratie wie die Gesundheitstelematik, der Personalausweis fürs Internet oder der elektrische Postkutscher DE-Mail mit seinem staubigen Logo stehen als Investitionsruinen im Cyber- und Informationsraum. Doch wir wären nicht die Deutschen, verteidigten wir unsere Bürokratie nicht gegen jede Vernunft verbissen bis in den Untergang.
So kommt das E-Government auch deshalb nicht voran, weil es sich zuerst an den Bedürfnissen der Verwaltung statt an jenen der Bürgerinnen und Bürger orientiert. Nicht Usability und einfacher Zugang für alle stehen im Vordergrund, sondern eGovernment-Dienste sollen in erster Linie der Totgeburt Personalausweis endlich Leben einhauchen. Noch im Jahr 2019 stellt eine sogenannte Digitalstadt – diesen Titel verlieh der Branchenverband Bitkom – stolz ein Serviceterminal vor, das Bürger mit ihrem Personalausweis nutzen können, nachdem sie sich ins Bürger- und Ordnungsamt verfügt haben. Selbst in echten Online-Diensten wie der endlich langsam ins Rollen kommenden Neuwagenzulassung übers Internet macht man den Personalausweis weiter zur Sollbruchstelle.
Bliebe die Vorstellung, Bürgerinnen und Bürger hätten der Bürokratie zu dienen, in den Amtsstuben eingeschlossen, könnte man darüber hinweglächeln. Doch Rechtsvorschriften tragen sie in die Wirtschaft und in unseren Alltag. Hochbezahlte Spezialisten überlegen sich zu Beispiel, wie eine rechtskonforme Kundenlegitimation zur Eröffnung eines Bankkontos oder bei einem Kreditantrag aussehen könne, und die Beschreibung ihrer Lösung liest sich wie eine der Jagd nach dem Passierschein A38. Stolz verweist man darauf, eine Gesetzesänderung habe alles vereinfacht: Immerhin benötige man jetzt keine qualifizierte elektronische Signatur in der Tradition des Signaturgesetzes von 1997 mehr, welche sich in der Breite ebensowenig durchsetzen konnte wie später die eID-Funktion des Personalausweises.
Nutzerorientierte Pragmatiker dächten sich an dieser Stelle vielleicht ungefähr folgendes Verfahren aus: Verlässlich identifiziert werden Bankkunden mit Hilfe Ihres Smartphones und mit Unterstützung ihres Mobilfunkanbieters, der ohnehin Kundenidentitäten vorratsdatenspeichern muss. Alternativ oder zusätzlich kommen bestehende Bankkonten sowie Schufa-Daten als Identitätsquelle in Frage, wie sie zum Beispiel Sofort Ident verwendet. Die Verrenkungen zur Produktion einer digitalen Signatur mit dem Ausweis aber ohne dessen Signaturfunktion könnte man durch ein nutzerfreundliches Protokoll ersetzen. Zum Beispiel könnte die Bank ihren Neukunden die Vertragsunterlagen mit einem integrierten Transaktionscode in Form einer TAN oder eines QR-Codes zuschicken und die Kundinnen und Kunden den Inhalt mit diesem Code bestätigen.
Dem stehen jedoch unnötig rigide Vorschriften im Wege, geprägt von einer langen Tradition der Papiere und Aktendeckel statt von Apps, APIs und Websites, verfasst von alten Männer mit Kugelschreibern statt von jungen Menschen, die etwas vom Internet verstehen. Bis sich daran etwas ändert, werden wir weiter darüber sinnieren, warum die Digitalisierung unaufhaltsam voranschreitet und uns dabei immer wieder abgeschlagen zurücklässt. Vielen scheint das ganz recht zu sein.
Die alten Männer mit Kugelschreibern wissen übrigens viel besser, was sie da tun, als es vielleicht den Anschein hat. Sobald nämlich dem Staat Geld winkt, sind die eben noch so wichtigen Anforderungen auf der Stelle vergessen: Unsere Steuererklärung abgeben und Lotto spielen dürfen wir ohne Ausweis und Unterschrift.
Das Berliner Kammergericht hat sich Emotet eingefangen, den „König der Schadsoftware” (BSI), und arbeitet seither im Notbetrieb. Wer den Schaden hat, braucht für den Spott nicht zu sorgen, und so melden sich auch aus diesem Anlass jene „Experten“ zu Wort, denen nichts besseres einfällt als den Opfern die Schuld in die Schuhe zu schieben und sie zu verhöhnen:
„Auch generell sollte man sich fragen, ob man eine E-Mail mit einem Anhang von dem angezeigten Absender erwartet – denn die Kennung könnte gefälscht sein. Im Zweifel sollte man den Absender anrufen und ihn fragen, ob die E-Mail wirklich von ihm kommt. Anhänge mit den Dateiendungen ‚.exe‘ oder ‚.zip‘ sollte man generell nicht öffnen, denn sie können noch viel leichter Viren und Trojaner enthalten.“
Das ist eine Bankrotterklärung. In Wirklichkeit muss ein Computersystem, mit dem man E-Mail liest, in der Lage sein, mit den empfangenen Nachrichten umzugehen. Und zwar selbständig und ohne Nachhilfe seiner Nutzer, zumal wenn es sich dabei nicht um IT-Experten handelt, sondern um Richter und Justizangestellte.
So etwas ist kein Hexenwerk. Schon wer den Schritt in die Cloud geht und seine E-Mail konsequent zum Beispiel mit den Anwendungen von Google (GMail + Office Suite + Drive) bearbeitet, dürfte um Größenordnungen sicherer sein als Old-School-PC-Benutzer, die jeden Anhang herunterladen und lokal öffnen.
Doch die Cloud, zumal die ausländische aus Amerika, wo die Datenkraken hausen und nichts auf die deutsche Hochkultur von Datenschutz bis Algorithmenethik geben, die Cloud gilt als haram und ist zu meiden. Ehe man sich mit dem Teufel einlässt, opfert man lieber ein Kammergericht und hofft, so den Zorn der Götter zu besänftigen. Unsere Gesellschaft ist in der IT-Sicherheit so rückständig wie in allem anderen, was mit Informationstechnik zu tun hat.
Um Missverständnisse zu vermeiden: Das heißt nicht, dass man nur alle Daten zu Google tragen müsse und alles werde gut. Doch wir nehmen anscheinend nicht einmal mehr zur Kenntnis, dass sich die Welt in den letzten Jahrzehnten weitergedreht hat, manches Problem lösbar geworden ist und sich die wohlmeinenden Hinweise von einst – Sei vorsichtig im Internet! – als wenig hilfreich erwiesen haben.
Die Politik hat bereits einen Plan, wie wir die Weltspitze einholen wollen, ohne sie zu überholen: indem wir sie zerschlagen, ach was, zerschmettern! wie es einst die Armee unserer Großväter mit ihren Gegnern zu tun pflegte, bevor sie Schal und Mütze für kalte Tage zu Hause vergaß und ihrerseits zerschmettert wurde. Freilich nicht mit einem Heer, dessen Ausrüstung die Bedingungen des Versailler Vertrags besser denn je erfüllt, sondern mit neuen Schwertern des Wettbewerbsrechts, die im GWB-Digitalisierungsgesetz gerade geschmiedet werden.
Wäre doch gelacht, wenn wir uns nicht ein drittes Mal eine blutige Nase holen könnten. Wer weiß, vielleicht endet es diesmal damit, dass die Chinesen vorbeikommen und Harmonie exportieren.
Die SPD-Bundestagsfraktion hat ein Positionspapier zum IT-Sicherheitsgesetz 2.0 beschlossen. Da stehen einige sinnvolle Forderungen drin, etwa nach Verbesserungen im Opferschutz und bei den zuständigen Behörden. Andere sind Blödsinn, allen voran jene nach einer Verpflichtung von Dienstanbietern zu spezifischen Sicherheitsmaßnahmen wie 2-Faktor-Authentisierung.
Sicherheit sei kein Zustand, lautet ein geflügeltes Wort, sondern ein Prozess. Dies gilt nicht nur für den Betrieb von IT-Systemen, sondern auch für ihre Entwicklung und Gestaltung. Konkrete Ausprägungen von Sicherheitsfunktionen stehen am Ende einer langen Folge von Entwurfsentscheidungen.
Viele dieser Entscheidungen sind das Resultat von Abwägungen zwischen verschiedenen Entwurfszielen auf verschiedenen Gebieten, zum Beispiel Funktionalität, Usability und Usability. Noch mehr Entscheidungen treffen gar nicht die Entwickler selbst, sondern der Markt und der Stand der Technik, der sich ständig weiterentwickelt.
In diesem Kontext einen sinnvollen und lange haltbaren Fixpunkt zu setzen, ist schwierig, und Politiker sind für diese Aufgabe noch weniger qualifiziert als jene, die wenigstens das Problem verstehen. Die besten Lösungen entstehen vielmehr durch fortwährende Evolution.
Ein Beispiel: Die URL-Zeile im Webbrowser begann ihre Karriere vor mehr als einem Vierteljahrhundert als einfaches Eingabefeld für Web-Adressen. Im Laufe der Zeit stellte sich heraus, dass gefälschte Websites für allerlei Angriffe benutzt werden können und man daher gut daran tut, die Benutzer eines Browsers so gut wie möglich bei der Erkennung solcher Täuschungsversuche zu unterstützen.
Dabei müssen gleichzeitig andere Ziele berücksichtigt werden, wenn die URL-Zeile dient weiterhin auch ihrem ursprünglichen Zweck. Über die Jahre haben die Browser-Entwickler gelernt, auf welche Einzelheiten es ankommt und wie man die verschiedenen Ziele gut unter einen Hut bekommt, und daraus Empfehlungen formuliert.
Diese Empfehlungen repräsentieren den aktuellen Stand; die Entwicklung wird weitergehen, die Anforderungen werden sich ändern und man wird für neue Aspekte des Problems neue Lösungen finden. Evolution eben. „Security by Design“ klingt zwar gut, aber Design ist nichts anderes als forcierte Evolution.
Spezifische Entwurfsvorgaben von Gesetzesrang grenzen diese Evolution willkürlich ein. Sie machen aus einem Lern- und Innovationsproblem eine Compliancefrage und eine bürokratische Angelegenheit. Damit erreichen sie genau das Gegenteil des Gewollten: Die Sicherheit erhöht sich nicht, sondern alle sind nur noch damit beschäftigt, gesetzliche Vorgaben einzuhalten, seien sie nun sinnvoll oder nicht.
Tatsächlich ist liegt simple 2-Faktor-Authentisierung alleine sogar schon hinter dem Stand der Technik. Wer sich moderne, das heißt nichtdeutsche Websites oder gar „die Cloud“ anschaut, findet dort ausgefeilte Systeme zum Identitäts- und Rechtemanagement, in denen die unmittelbare Benutzerauthentisierung nur ein Baustein ist.
Einige andere Bausteine sind an der Benutzerschnittstelle zum Beispiel die Verwaltung von Clientgeräten (Funktionen wie: „Alle angemeldeten Geräte abmelden“), Benachrichtigungsfunktionen („Jemand hat Ihr Passwort dreizehnmal falsch eingegeben.“), die Nichtbehinderung von Passwortmanagern sowie Recovery-Funktionen, mit denen Benutzer in verschiedenen Situationen (Passwort vergessen, gehackt, E-Mail-Adresse verändert) wieder Zugang zu ihrem Account bekommen. All diese Bausteine sind sicherheitsrelevant und jeder von ihnen sowie ihr Zusammenspiel unterliegt ebenso wie die Gestaltung der URL-Zeile im Browser der fortlaufenden Evolution.
Gesetzestexte können schon die statische Komplexität des Themas nicht fassen, von der Weiterentwicklung gar nicht zu reden. Konkrete gesetzliche Vorgaben zur Gestaltung von Authentisierungsfunktionen wären schon bei Inkrafttreten des Gesetzes veraltet oder unvollständig. Sogar als rein wirtschaftlich motivierte Marktregulierung taugt der Ansatz wenig: Ausgerechnet heimische Anbieter wie GMX und Web.de tun sich schwer mit der Zwei-Faktor-Authentisierung, während sie bei den Großen aus Amerika längst Standard ist. Ganz ohne Gesetz übrigens.
Ich wäre der Politik dankbar, wenn sie sich auf das Formulieren von User Stories* beschränken und die Technik den ITlern überlassen würden. Glauben Sie mir, meine Damen und Herren, und das möchte ich hier in aller Deutlichkeit betonen: Es ist besser so. Wer die Evolution der Technik wirklich beeinflussen möchte, sollte das indirekt über die Anreize tun.
Häme ist billig, macht jedoch Spaß. In diesem Sinne:
Nationales Cyber-Abwehrzentrum gegründet. BSI vergrößert. Kommando CIR aufgebaut. Forschungsgelder versenkt. Allianz für Cybersicherheit gepflegt. Agentur für Innovation in der Cybersicherheit beschlossen. IT-Sicherheitsgesetz eingeführt.
Ergebnis dieser Bemühungen: Die deutsche Cyberabwehr erfährt nach Wochen aus den Medien, dass jemand in aller Öffentlichkeit Politiker und Promis doxxt.
PPS: Nach einer neueren Meldung wusste das BSI schon länger von dem Vorgang und will auch seine schwarzen Hubschrauber („Mobile Incident Response Team“) losgeschickt haben.
Während sich Berlin und Brüssel um Fake News und Social Bots sorgen und der Spiegel in seinen Reihen einen verwirrten Einzelfaker aufspürt, spielt sich vor unseren Augen die größte Fake-News-Krise des frühen 21. Jahrhunderts ab: die Legende von der wunderbaren Blockchain-Technologie, die alles revolutioniere. Entstanden als Behauptung windiger Geschäftemacher, schaffte sie es mittlerweile in Zeitungsartikel, auf Wahlplakate, in Koalitionsverträge sowie ins Abendprogramm der ARD. Treiber dieser memetischen Krise sind nicht die üblichen Verdächtigen – Putins Trollarmeen, horizontbeschränkte Wutbürger und Protonazis sowie Facebook, Twitter und Google – sondern gesellschaftliche Systeme, die emergent-kollektiver Bullshitterei zunehmend wehrlos gegenüberstehen.
Screenshot aus der Sendung Börse vor acht der ARD vom 17.12.2018. Im Anschluss an einen Bericht über hohe Kursverluste sogenannter Kryptowährungen verkündete die Moderatorin die nicht mehr taufrische Geschichte von der Blockchain-Technologie hinter den sogenannten Kryptowährungen, die eine Zukunftstechnologie sei.
Banale Technik
Die Blockchain gibt es tatsächlich. Sie ist allerdings keine Technologie, sondern eine IT-Architektur. Ausgangspunkt war das virtuelle Spekulationsgut Bitcoin, das auf dem Finanzmarkt gerade eine Wertberichtigung erfährt. Da sich Zufallszahlen auch mit einer guten Geschichte kaum verkaufen lassen, kombinierte Bitcoin kreativ mehrere Entwurfsmuster: (1) eine Protokolldatei aus kryptografisch verketteten Einträgen, so dass Manipulationen erkennbar werden und nur das Anhängen neuer Einträge zulässig ist, (2) die redundante Speicherung dieser Datei bei jedem Teilnehmer, (3) ein Verfahren zur (technischen) Konsensbildung darüber, welche Inhalte in welcher Reihenfolge an die Datei angehängt werden, (4) künstlich erzeugten Rechenaufwand als Voraussetzung für die Teilnahme, um Manipulationen der Konsensbildung zu verteuern, sowie (5) eine Lotterie, welche die Teilnahme an der Konsensbildung gelegentlich belohnt.
Im Wesentlichen handelt es sich bei einer Blockchain um eine Protokolldatei mit kryptografischer Integritätssicherung. Die übrigen Elemente benötigt man nur deshalb, weil man diese Protokolldatei nicht in der üblichen Weise zentral auf einem Server im Internet führt, sondern – ohne erkennbare technische Motivation – auf eine solche Instanz verzichten möchte. Später kam die Idee der „Smart Contracts” hinzu. Das sind Programme, die mit Protokolleinträgen als Ein- und Ausgaben arbeiten und selbst protokolliert sind.
Kein plausibler Nutzen
Ein Protokollierungsmechanismus, der aufgrund willkürlicher Entwurfsentscheidungen unnötig ineffizient ist, soll also die Cyberdigitalisierung revolutionieren und Krebs heilen. Wirklich Neues jedoch kann man damit gar nicht anfangen. Verlässliche Protokolle kennt die Menschheit, seit die ersten Hieroglyphen in Ton geritzt wurden. Auch Erzählungen von Smart Contracts wirken nur noch halb so beeindruckend, wenn man erst einmal das kontaktlose Bezahlen mit Karte oder Telefon ausprobiert hat. Viel smarter als eine Kreditkarte mit Chip werden Verträge in diesem Leben voraussichtlich nicht mehr
Dass es in der Praxis zudem eher auf Pragmatik ankommt als auf starke Kryptografie, konnten wir gerade in Deutschland mehrfach schmerzhaft lernen, etwa angesichts des einst in seiner Bedeutung hoffnungslos überschätzten Signaturgesetzes oder der Investitionsruine eGK. Unterdessen kaufen wir seit inzwischen Jahrzehnten alles Mögliche im Netz ein und das funktioniert prima ohne ein zentrales Transaktionsregister.
Dementsprechend vage bleiben die Verheißungen der wunderbaren Blockchain-Technologie durch sämtliche Nachrichten hinweg. Zwar betonen alle, welch eine Revolution sich gerade vollziehe, doch der Aufforderung: „Show, don’t tell“ folgt niemand. Erfolgreiche Projekte findet man nicht einmal, wenn man sie aktiv sucht und als mögliche künftige Anwendungen werden wie im Bildschirmfoto oben vor allem solche aufgezählt, die es längst gibt, nur eben funktionierend statt mit Blockchain. Da hilft auch die Umbenennung in Distributed Ledger Technology nicht.
Das konnte man alles sehen und wissen, schon lange, wenn man ab und zu nach Antworten auf naheliegende Fragen gesucht hat: Wie soll das funktionieren? Hat das mal jemand ausprobiert? Wie hat man das Problem bisher gelöst? Was wird besser, was schlechter, wenn man eine Blockchain-Lösung baut? Handelt es sich überhaupt um ein Problem, für dessen Lösung jemand Geld ausgeben würde? Viele haben es auch gesehen und gewusst und die Blockchain-Promoter belächelt, seit Jahren schon, denn überzeugende Details enthielt die Geschichte nie, dafür viele phantasievolle Ausschmückungen des immergleichen Grundgerüsts, und zuletzt sprachen auch harte Daten gegen die Vermutung eines echten Technologietrends.
Bullshitblase
Gescheitert sind an der Legende von der Blockchain jedoch gesellschaftliche Teilsysteme, denen die Einschätzung von Wahrheit und Relevanz obliegt: die Medien, die Wissenschaft und in der Folge auch die Politik. Eine lose Allianz aus Geschäftemachern, Konzernen, Wissenschaftlern und Wissenschaftsorganisationen sowie Journalisten bildet eine Blökchain, in der alle einander auf die Schulter klopfen und versichern, wie prächtig und revolutionär des Kaisers neue Blockchain sei – während ringsum alles in Chor ruft, da sei nicht mal ein nackter Kaiser.
Als schwarze Schafe, welche die Legende in die Welt setzten, fungierte zum einen die ICO-Szene, zum anderen Konzerne mit Innovationsdefiziten. Die ICO-Szene entwickelte sich aus der Erkenntnis, dass sich das Bitcoin-Modell beliebig vervielfältigen lässt, und der Idee, solche Kopien herzustellen und aus diesem Anlass „Token“ an risikobereite Investoren zu verkaufen. Im Gegensatz zum oberflächlich ähnlichen IPO eines Startups erwerben die Investoren dabei keine Unternehmensanteile, sondern sie investieren lediglich in die Hoffnung, jemand könne ihnen in Zukunft ihre Token abkaufen, warum auch immer, und dafür einen höheren als den ursprünglichen Preis zahlen.
Gleichzeitig sahen einige Konzerne eine Gelegenheit, sich innovativ zu geben und ihren an sich langweiligen und schwer unterscheidbaren Produkten und Dienstleistungen Alleinstellungsmerkmale anzudichten – eben die Blockchain-Technologie, welche danke Bitcoin-Blase und ICO-Meldungen im Gespräch war. Das ist nicht ungewöhnlich; man denke etwa an die Second-Life-Blase vor etwas mehr als zehn Jahren mit ähnlichem Verhalten teils derselben Akteure. Wenn ein Konzern laut darüber redet, so etwas zu tun, dann sind Nachahmer nicht weit, und so behaupten heute viele alte Unternehmen, irgendwas mit Blockchain zu tun. Zugute kommt ihnen dabei der Blökchain-Mechanismus – sie müssen nur in den Chor derer einstimmen, die von der goldenen Blockchain-Zukufnft schwärmen, und sie sind in diesem Chor herzlich willkommen.
Überforderte Institutionen
Bis hierhin handelt es sich um legitime Spekulation und PR im eigenen Interesse, um ganz normalen Kapitalismus, der bestimmungsgemäß funktioniert. Normalerweise stehen diesen Akteuren und ihrem Handeln jedoch als Korrektiv Systeme mit Objektivitätsanspruch gegenüber, etwa die Medien und die Wissenschaft. Diese Systeme sind bislang allen offensichtlichen Zeichen zum Trotz an der Legende von der Blockchain-Revolution gescheitert.
Für die Medien ist die Geschichte von der Blockchain ein gefundenes Fressen. Medien mögen Geschichten, selbst wenn sie falsch sind. Gleichzeitig steckt die Presse seit Jahren in der Krise, ihre Auflagen sinken ebenso wie die Werbeeinnahmen und vom einstigen Geschäft mit den Kleinanzeigen sind höchstens noch die Trauerfälle in der längst woanders produzierten Lokalzeitung übrig. Ein Thema ernsthaft und kritisch zu recherchieren, auch wenn keine spektakuläre Enthüllung als Belohnung winkt, kann man sich kaum noch leisten. Recherchiert man weniger gründlich, verfängt man sich jedoch fast zwangsläufig in der Blökchain. Die sichtbarsten und zugänglichsten Experten sind dann jene, auf deren Agenda die Blockchain-Promotion steht und sie verbreiten selbstverständlich ihre Legende.
Ist dies oft genug geschehen, wird die Politik aufmerksam. Was es mit einem Schlagwort wirklich auf sich hat, interessiert dort erst einmal weniger, solange es als Code für Fortschritt und Modernität oder sonst irgendeinen ätherischen Wert brauchbar scheint. So landete die Blockchain erst in den Wahlkämpfen der FDP und alsbald auch im Koalitionsvertrag der aktuellen GroKo. Das nationale und kontinentale Trauma, in der IT- und Internetwirtschaft hoffnungslos den Anschluss verloren und sich stattdessen in Datenschutz-, Ethik- und Sicherheitsdebatten verzettelt zu haben, bereitet inzwischen reale Schmerzen. Man sucht händeringend nach dem Next Big Thing™, bei dem man endlich mal die Nase vorn haben möchte, und läuft deshalb jedem sich abzeichnenden Trend hinterher. So wandert die Legende weiter in die real existierende Forschungsförderung. Ähnliches spielt sich auf europäischer Ebene ab.
Dies wiederum führt die Wissenschaft an die Blökchain heran. Was mancher noch für eine hehre Wahrheitssuche hält, ist über weite Strecken längst zu einem Geschäft geworden, in dem jene als die Erfolgreichsten gelten, welche die höchsten Fördersummen akquirieren und verbrauchen. Von dort ist folglich zur Blockchain-Legende kaum ein kritisches Wort zu hören, solange man mit Fördermitteln für dieses Thema rechnet. Im Gegenteil, seit sich der Thementrend abzeichnet, produziert man eilig Thesenpapiere, Experten und Labore, um sich für den Kampf ums Geld in Position zu bringen und so auszusehen, als hätte man die Blockchain beinahe miterfunden. So stimmen Wissenschaftler und Funktionäre in den Chor ein, der von einer goldenen Blockchain-Zukunft schwärmt, denn alles andere wäre sehr dumm, wenn Geld für Blockchain-Projekte winkt.
Was nun?
So hat sich quer durch die Gesellschaft eine Blase gebildet, in der die Legende von der wunderbaren, alles revolutionierenden Blockchain-Technologie durch wechselseitige Bestätigung und Bekräftigung am Leben erhalten wird, während man sich gegen Kritik und Zweifel durch Ausschluss der Kritiker immunisiert. Schuld daran sind weder Putins Trollarmeen noch die bösen Internetplattformen, sondern die Verhältnisse in wichtigen Teilsystemen unserer Gesellschaft sowie deren Zusammenwirken. Wo alle einander nachhaltig dieselbe offensichtlich halbwahre Geschichte nacherzählen, fehlt es an öffentlichem Widerspruch und mithin an Pluralismus.
Von ihrem gegenwärtigen Leitthema wird sich diese Fake-News-Blase bald verabschieden, weil es darüber kaum noch Neues zu erzählen gibt und sich die alte Legende abnutzt, wenn vorzeigbare Erfolge weiter ausbleiben. Doch die Strukturen und Mechanismen dahinter werden bleiben und sie werden neue Themen finden, mit denen sie uns ebenso lange und intensiv auf die Nerven gehen werden. Wir müssen uns deshalb fragen, mit welchen Mitteln wir künftig Nachrichten, Weltbilder und Kritik produzieren möchten und was wir ungenierter Bullshitterei entgegensetzen können.
Ein Hoffnungsschimmer
Andererseits sehe ich nicht so schwarz, wie es hier im Text vielleicht scheint, sondern ich glaube daran, dass sich die Wahrheit auf lange Sicht doch durchsetzt. Gegenwärtig kommt ein Hauch von Realismus in der Berichterstattung an und wenn das Rückzugsgefecht so weitergeht, lassen wir das Thema Blockchain vielleicht bald hinter uns. Es wird auch Zeit.
Immerhin hat die wunderbare Blockchain-Technologie inzwischen auch in der Berichterstattung Nachteile. Nun fehlt nur noch die Erkenntnis, dass sie an diesen Nachteilen gescheitert ist.
Die Digitalisierung schreitet unaufhaltsam voran. In der Zeit, die wir seit den ersten Konzepten für den Aufbau unserer hochsicheren und hochverfügbaren Telematikinfrastruktur für das Gesundheitswesen nach Konzepten aus den frühen nuller Jahren verbraucht haben, verbreiteten sich draußen unter anderem:
Windows Vista, 7, 8 und 10
UMTS und LTE
Smartphones, Tablets und Smart Watches
Cloud Computing auf allen Schichten von IaaS bis SaaS
Site Reliability Engineering und Chaos Engineering
API Management
Agile Methoden und DevOps
Big Data, Machine Learning und KI
Stuxnet und andere Cyberwaffen
Auch kamen und gingen der neue Personalausweis, DE-Mail, das beA sowie die Piratenpartei.
Bekäme man das Gesundheitskartennetz zusammen mit dem Berliner Flughafen eines Tages doch noch fertig – was würde man dann mit dieser hoffnungslos veralteten Technik tun?
Sicherheit ist schwer, weil das Angreiferverhalten nicht einmal statistisch konstant bleibt. Diese Erfahrung machte auch die DDR kurz vor ihrem Ableben:
Jahrzehntelang hatte man sich intensiv auf einen militärischen Konflikt mit dem Klassenfeind vorbereitet. Dem preußischen Militarismus stand die DDR in nichts nach und die männliche Bevölkerung war hervorragend militärisch ausgebildet. Der Einsatz der Armee gegen das eigene Volk kam auch deshalb nicht in Frage – es hätte sich zu wehren gewusst und die Armee war fürwahr eine Volksarmee.
Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?
Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.
Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.
Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.
Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.
Konkreter wird die öffentliche Diskussion selten. Von hackenden Russen und Chinesen (Spy vs. Spy?) – seltener: Amerikanern et al. – mit staatlichem Auftrag ist öfter die Rede und gelegentlich erinnert jemand an Stuxnet als erste „Cyberwaffe“. Was, wenn jemand so eine Cyberwaffe gegen kritische Infrastrukturen wie die Wasser- oder Energieversorgung unseres Landes einsetzt? Müssen wir da nicht zurückschlagen können?
„Cyber“ als IT-Betrieb und Sicherheitsmanagement, wie wir sie kennen: Jede Organisation muss sich um den sicheren Betrieb und das Sicherheitsmanagement ihrer vernetzten Systeme kümmern, so auch die Bundeswehr. Das ist in erster Linie eine Admin- und Abwehraufgabe und für eine Armee die Ausdehnung von Wachdienst und Spionageabwehr ins Internet sowie auf die militärischen Kommunikationssysteme und die IT der Waffensysteme. Bundestagsmandate braucht man dafür so wenig wie für das zivile Gegenstück nach BSI-Kompendium. Soldaten braucht man dafür auch nur bedingt; die Bundeswehr könnte auch einen IT-Dienstleister beauftragen.
„Cyber“ als Erweiterung des Waffenarsenals und Operationsraums: Im Rahmen militärischer Einsätze werden zusätzlich oder alternativ zu herkömmlichen Waffen auch „Cyberwaffen“ eingesetzt, das heißt das Ziel der Operation wird auch durch Eingriffe in Netze und IT-Systeme verfolgt. Statt Bomben auf Kraftwerke zu werfen, könnte die Truppe beispielsweise versuchen, den Strom im Operationsgebiet mit anderen Mitteln abzuschalten. Für solche Einsätze braucht die Bundeswehr ohnehin ein Mandat.
Abzuwarten bleibt, wie gut „Cyberwaffen“ in diesem Zusammenhang wirklich funktionieren. Kanonen, Gewehre, Geschosse und Bomben haben den Vorteil, im Kern sehr einfachen Funktionsprinzipien zu folgen. Sie lassen sich massenhaft herstellen und unter Feldbedingungen flexibel gegen verschiedene Ziele einsetzen. Ob es eine gute Idee ist, die Energieversorgung zu hacken, statt ein Kommando ins oder Bomber übers Kraftwerk zu schicken, wird sich zeigen.
„Cyber“ als neuer Raum für Konflikte geringer Intensität: Die Informationstechnik ermöglicht auch neuartige Aktionsformen unterhalb der Schwelle zum offenen militärischen Konflikt. Stuxnet ist das prominenteste Beispiel: Ein Staat verfolgt Ziele im Ausland durch Eingriffe in fremde IT-Systeme. Solche Operationen haben eher einen geheimdienstlichen als einen militärischen Charakter.
Solche Operationen sind neu und international gibt es damit wenig Erfahrung, deshalb stellen sich hier die interessanten Fragen: Was ist ein militärischer Angriff, was nur ein unfreundlicher Akt? Welche Ziele sind legitim, welche Antworten angemessen? Und wie findet überhaupt heraus, wer der Angreifer war? Aufgrund der geheimdienstlichen Natur solcher Operationen wäre die Forderung nach einem vorher zu erteilenden spezifischen Bundestagsmandat kontraproduktiv. Stuxnet illustriert all diese offenen Fragen.
“Secretocracyis an insidious, anti-democratic form of government sustained by secrecy and defined by an ill-informed body politic.” (Hal Berghel, IEEE Computer 02.16)
“Can God create a rock so heavy He could not lift it?” this is one version of the omnipotence paradox. To make a long story short, ominpotence as a concept leads to similar logical problems as the naïve set-of-sets and sets-containing-themselves constructions in Russel’s paradox. Some use this paradox to question religion; others use it to question logic; and pondering such questions generally seems to belong to the realm of philosophy. But the ongoing new round of (civil) crypto wars is bringing a tranformed version of this paradox into everyone’s pocket.
Can Apple create an encryption mechanism so strong that even Apple cannot break it? Apple claims so, at least for the particular situation, in their defense against the FBI’s request for help with unlocking a dead terrorist’s iPhone: “As a result of these stronger protections that require data encryption, we are no longer able to use the data extraction process on an iPhone running iOS 8 or later.” Although some residual risk of unknown vulnerabilities remains, this claim seems believable as far as it concerns retroactive circumvention of security defenses. Just as a locksmith can make a lock that will be as hard to break for its maker as for any other locksmith, a gadgetsmith can make gadgets without known backdoors or weaknesses that this gadgetsmith might exploit. This is challenging, but possible.
However, the security of any encryption mechanism hinges on the integrity of key components, such as the encryption algorithm, its implementation, auxiliary functions like key generation and their implementation, and the execution environment of these functions. The maker of a gadget can always weaken it for future access.
Should Apple be allowed to make and sell devices with security mechanisms so strong that neither Apple nor anyone else can break or circumvent them in the course of legitimate investigations? This is the real question here, and a democratic state based on justice and integrity has established institutions and procedures to come to a decision and enforce it. As long as Apple does not rise above states and governments, they will have to comply with laws and regulations if they are not to become the VW of Silicon Valley.
Thus far we do not understand very well how to design systems that allow legitimate law enforcement access while also keeping data secure against illiegitimate access and abuse or excessive use of legitimate means. Perhaps in the end we will have to conclude that too much security would have to be sacrificed for guaranteed law enforcement access, as security experts warn almost in unison, or that a smartphone is too personal a mind extension for anyone to access it without its user’s permission. But this debate we must have: What should the FBI be allowed to access, what would be the design implications of guaranteed access requirements, and which side effects would we need to consider?
For all we know, security experts have a point warning about weakening what does already break more often than not. To expectat that companies could stand above the law because security, however, is just silly.
PS, remember Clarke’s first law: “When a distinguished but elderly scientist states that something is possible, he is almost certainly right. When he states that something is impossible, he is very probably wrong.”
PPS: Last Week Tonight with John Oliver: Encryption
Sicher ist sicher? 